下载
有效日期:2017年6月1日 修正:2018年1月12日
策略
学术,信息管理,隐私和安全

网络安全监控策略

负责办公室 信息服务和技术副总统办公室

审查:2024年4月24日,由CSIS治理

概述和范围

波士顿大学信息安全部门负责保护大学的电子信息资产,包括执行持续的、常规的网络安全监控和使用技术来检测和/或防止网络入侵。某些法律法规也包含安全标准,可能要求大学参与网络监控和报告网络事件。此策略描述了现有的技术、保护个人隐私的原则、对收集或存储的数据的访问和保留控制、变更管理流程以及使用网络监控技术的审计和报告要求。

网络监控技术

网络监控技术在网络中通过特定点时检查网络流量,并可能采取澳门威尼斯人注册行动记录、改变或阻止流量,以保护发送方或接收方。

仅授权信息安全部门在日常基础上部署和操作这些技术;信息服务与技术(IS&T)及其IT合作伙伴可以部署和操作这些技术用于短期诊断目的。任何其他网络监控技术的部署或操作将暴露除操作该技术的个人以外的流量,必须事先获得信息安全部门的批准。根据具体情况,教务长或其指定人员,总法律顾问办公室(OGC)和/或机构审查委员会(IRB)也可能需要进行审查。

信息安全部门可以在波士顿大学网络上使用以下监控技术:

  • 入侵检测
  • 入侵预防
  • 防火墙
  • 网络层防病毒和反恶意软件
  • 网络层高级威胁防护
  • 基于URL/ ip的信誉过滤
  • 防止数据丢失
  • 网络流量监控

应要求,将向公共服务和信息安全(CSIS)治理委员会提供澳门威尼斯人注册如何以及在何处部署技术的描述。

对资料私隐的承诺

信息安全部门应遵循以下原则,采取合理手段保护数据隐私:

  • 除保护大学的信息资产和确保网络的适当和合法使用和性能外,信息安全部门在任何时候都不会出于任何目的监控或检查网络流量。
  • 使用网络监控技术来履行大学的义务,以保存和提供与法律程序有关的电子信息,调查不当行为的指控,并及时解决对大学社区或个人的威胁,这些都受到电子信息公开政策的约束。
  • 除非事先获得受影响单位的批准,否则信息安全部门不会为破坏加密通信的安全性而部署技术。
  • 信息安全将根据《电子信息访问政策》的规定捕获和保留网络流量,并可能捕获和保留与特定漏洞相关的少量网络流量,以识别安全事件或确认安全事件,收集有关网络使用的汇总统计数据,并与同行和信息安全分析中心共享去识别或汇总统计数据。
  • 信息安全部门对允许或不允许访问应用程序或网站的决定将基于网络安全风险,而非应用程序或网站的内容。任何有关网站或应用程序内容的禁止访问将由OGC作出。

保留资料及查阅资料

如本节所述,“合法的业务需要”是指员工严格根据其工作职责,有明确明确的理由访问信息,以履行对大学的职责。

  1. 网络监控技术产生的日志包含实时的、未编辑的、个人可识别的数据。首席信息安全官可批准有合法业务需要的IS&T员工以任何形式访问这些日志。IS&T副总裁可以批准有合法业务需要的非IS&T员工进入。这些日志最多保留30天。
  2. 编辑过的数据集不包括原始数据包数据,但仍可识别个人身份,将被导出到大学的企业日志管理服务器。如果有合法的业务需要,首席信息安全官可以批准BU技术支持人员访问企业日志管理服务器。编辑过的日志最多可保留365天。
  3. Netflow日志Netflow日志包含网络流量记录,但不包含内容,因此不包含个人身份信息。如果有合法的业务需要,首席信息安全官可以批准BU技术支持人员访问Netflow日志。Netflow日志最长保留180天。
  4. 信息安全可保留与安全事件相关的编校或未编校日志的摘录超过365天,并可根据业务需要共享摘录以解决安全事件。除非得到首席信息安全官的批准,否则不允许额外复制或输出日志。
  5. 为任何其他目的(包括学术或澳门威尼斯人注册网站研究目的)使用任何网络监控数据,必须得到首席信息安全官的批准。根据具体情况,教务长或其指定人员,OGC和/或IRB也可能需要进行审查。

网络监控技术列表的变更

在正常情况下,上述监测技术清单的变更需要事先获得战略与国际澳门威尼斯人注册网站研究中心治理委员会的批准。在紧急情况下,IS&T副总裁可指示信息安全部门实施额外功能以保护网络,直至CSIS治理委员会得到通知并有机会进行审查。战略与国际澳门威尼斯人注册网站研究中心治理委员会将相应地审查和更新这一政策。

网络监控技术配置的更新

网络监控技术需要日常维护和更新才能保持有效性。首席信息安全官可决定更新后的威胁情报是否需要在该等技术中手动或自动实施新规则。在可行的情况下(例如在没有紧急漏洞的情况下),首席信息安全官将要求战略与国际澳门威尼斯人注册网站研究中心治理委员会审查变更,该委员会将相应地审查和更新本政策。

可审核性

所有对网络监控技术配置的手动更改都将被记录下来。

报告

将根据要求向战略与国际澳门威尼斯人注册网站研究中心治理委员会提供变更日志。

生效日期

网络安全监控策略于2017年6月1日生效。

历史

网络安全监控政策由信息服务与技术办公室和总法律顾问办公室起草,由大学理事会教员政策委员会审查,并建议由大学理事会全体成员批准。于2017年5月17日获校董会批准。

澳门威尼斯人注册本政策的其他资源

相关政策

相关的程序